自動化鑑識系統及專業資安服務,最佳的 APT 處理實務
台灣威瑞特系統「Verint Systems (Taiwan)」 (原艾斯酷博Xecure Lab),推出劃時代APT偵測防禦技術並提供專業服務,提供最全面且完善的 APT 因應策略,大幅降低單位內遭受APT 入侵後的損害。在近幾年躍為火紅資安議題,然而事實上,早在10年前網軍便大舉入侵臺灣政府機關,台灣威瑞特團隊了解APT 網軍威脅極具在地化特性,單憑海外知名產品,恐難有效抵禦入侵;因此鑽研APT偵測防禦解決方案,為台灣最早投入 APT 研究的專業團隊。
APT 網軍攻擊發動通常透過社交工程信件攻擊,入侵後於端點電腦植入惡意程式,並透過隱蔽通道傳輸,確保可持續控制受駭單位,並進行機敏資料的竊取。一般的 APT 防禦設備均著眼於沙盒分析及閘道的防禦設備,沙盒分析有其偵測上的瓶頸,不適合當第一線的偵測工具,且一般的沙盒分析後產生的分析報告,對一般的從業人員無法直接透過報告,採取有效的因應方案。Verint了解有效處理 APT 問題不僅需從閘道著手,更要於端點的實體環境上偵測並分析,才是務實的解決 APT 問題的方案。
Verint認為,面對 APT 的問題不該是傳統的病毒問題處理方式,側重於查看檔案,偵測到一個病毒立即移除,如此難以根除病原體,仍停留在頭痛醫頭腳痛醫腳追著駭客跑的困境,因為只要 Command Channel 還在,駭客很快能東山再起。威瑞特的 APT 解決方案著眼於數位鑑識層級,非環繞於檔案本身,而是透過指向檔案與環境之間的互動關係,譬如正常的軟體,出現在不正常的位置,即可高度懷疑其為駭客的活動,接著借助自動化分析程序,便能勾稽出相關中繼站情資,讓企業瞭解病因,知所應變,終至推動完善的診治計畫。
Verint將 XecProbe予以精進,內建全新惡意程式分析引擎與自動化報告機制,可發揮全自動駭客活動回溯鑑識與分析功能;在此前提下,用戶只要啟動日常檢測程序,一來可過濾1~4級風險的惡意程式,持續建檔追蹤,二來更可揪出鐵定為APT的第5級惡意程式,獲得Verint提供之對應緩解措施。找出APT並加以清除,絕對有其必要,但更為健康的做法,則是直接面對威脅,藉由完整調查與整治計畫,以追溯帶原者並蒐集病歷資料,進而根據自身病因,啟動最佳療程,終至確保在一定Response Window內,避免同樣病症再次發生。為此,臺灣威瑞特於近期推出兩項新服務。
其一是雲端情資服務,旨在協助企業長期建檔追蹤並判讀1~5級各類威脅,並與其他資料進行比較分析,乃至於追蹤中繼站活動,獲取特定中繼站歷史資料暨相關延伸資料,及Verint每月提供之最新資安研究報告。
另一則是結合Verint藍隊(BlueTeam)人員現場鑑識、Profiling工具部署、SOP步驟(含蒐集、保存、鑑定、分析)的「整治計畫」服務,旨在徹底還原事件全貌,以作為企業今後資安規劃部署及調整之依據。
對付APT,其竅門無非就是Intelligent與Actionable,而Verint致力提供緩解措施、雲端情資服務,乃至整治計畫等服務,不僅是為了幫助企業迅速而有效地根治惡意程式,更期望協助企業建立應變模型,透過流程、工具、教育訓練、定期訓練等機能的持續鋪陳,徹底改善資安體質、增強抵抗力,以期建立長治久安之道。